Si un trabajador no realiza su trabajo con la diligencia debida, ¿se le puede corregir disciplinariamente, incluso despedirle? En principio, sí, pero con condiciones.
El caso que les relato, a continuación, es real y fue resuelto por el Tribunal Superior de Justicia de Madrid, Sala de lo Social, Sección 6ª, Sentencia nº 265/2023, de 14 de abril de 2023 (Rec. nº 919/2022).
El caso
El trabajador ocupaba el cargo de «Responsable de Seguridad en el Departamento de Tecnología y Sistemas» de la compañía Correos Express Paquetería Urgente, S.A.
Fue despedido, el 2 de marzo de 2022, tras detectarse que no había implementado medidas de control sobre los equipos y material informático con acceso a los sistemas de información y que las medidas de seguridad informática eran inadecuadas (principalmente reactivas, sin componentes activos como firewalls, IDS o IPS adquiridos en 2018 y 2020 pero no implantados, y ausencia de autenticación de doble factor con certificado). A mayores, advirtieron falta de control de contratos, incurriendo en excesos no presupuestados.
El trabajador recurrió su despido. La empresa alegó trasgresión de la buena fe contractual, así como abuso de confianza en el desempeño del trabajo, considerándose como tales el fraude o la deslealtad en las gestiones encomendadas, añadida a la imprudencia o negligencia en acto de servicio. Decir que la empresa sufrió, 25 días después de la incorporación del trabajador a su puesto de responsabilidad, un ciberataque que le ocasionó pérdidas cuantiosas.
El Juzgado de lo Social nº 47 de Madrid dictó sentencia el 12 de julio de 2022, declarando el despido improcedente. La empresa recurrió en suplicación y el TSJ de Madrid confirmó el fallo, condenando a la empresa a optar entre la readmisión del trabajador con abono de los salarios de tramitación o el abono al mismo de una indemnización cifrada en la cantidad de 86.564,75 € más costas, en cualquier de los casos, que el tribunal tasó en 700 € más IVA.
El TSJ declaró probado que el acceso al sistema informático, tras el ciberataque, se realizó mediante las credenciales de usuario y contraseña que los atacantes robaron a un empleado de nivel básico. Esto indica que el acceso se produjo de forma común y ordinaria, sin que el sistema pudiera detectar la entrada, ya que el usuario estaba autorizado, aunque la persona que lo utilizaba no lo estaba. Posteriormente, una vez dentro, un usuario experimentado con acceso a información sensible accedió a los servidores, cifró las discos e introdujo un virus habitual.
El tribunal declaró probado que no existía nexo causal directo entre la conducta del trabajador y el ciberataque. Además, la ausencia de medidas de seguridad (como firewalls o autenticación de doble factor) no se imputó directamente al trabajador despedido, pues estas se decidieron e implantaron en febrero de 2022 por el subdirector de seguridad, quien asumió el cargo el 29 de noviembre de 2021, tras el ataque. No se probó negligencia personal en el control de equipos ni en la validación de facturas, ya que no se identificaron normas incumplidas ni excesos voluntarios; los importes facturados variaban y se contuvieron posteriormente sin retroactividad punitiva. En resumen, la empresa no demostró incumplimiento grave y culpable atribuible al trabajador.
Conclusión
La persona responsable de la seguridad de los sistemas de información tiene funciones esenciales para proteger la continuidad del negocio frente a ciberamenazas, como implantar medidas de red, instalar firewalls y antivirus, desplegar cifrado, auditar sistemas y gestionar políticas para garantizar confidencialidad, integridad y disponibilidad.
En este caso, el despido fue declarado improcedente principalmente porque el trabajador llevaba solo 25 días en su rol específico de seguridad al momento del ataque. El descontrol provenía de periodos anteriores y no se probó negligencia personal directa ni causalidad con los perjuicios. Con más tiempo en el cargo y prueba de inacción culpable, el despido podría haber sido procedente.
La lección aprendida es que los despidos por negligencia en ciberseguridad requieren evidencia sólida de responsabilidad individual y proporcionalidad.
